Three Lines of Defense: een ridder met een drone

Om edelen te beschermen werden in de middeleeuwen kastelen gebouwd. Uitkijkposten, een slotgracht met ophaalbrug, dikke stenen muren, valhekken, schietgaten, potige soldaten en een strategische locatie zorgden voor een goede bescherming van het dagelijkse reilen en zeilen van de bewoners van het kasteel. Dit principe van meerdere verdedigingsmechanismen vinden we ook binnen bedrijven.

Het is belangrijk om exact te weten aan welke risico’s uw onderneming blootgesteld is. Zeker zo belangrijk is het inrichten van effectieve beheersmaatregelen en controlemechanismen op processen. Helaas wordt het managen van risico’s vaak belegd bij allerlei verschillende functies en verschillende teams die er elk hun eigen aanpak en definities op nahouden. Als het team dat verantwoordelijk is voor de uitkijktorens niet exact weet waar het naar uit moet kijken en bovendien niet efficiënt communiceert met het team dat de hefbrug bemant, kan dat voor ongewenste situaties zorgen.

The Three Lines of Defense

Mede daarom publiceerde het Instituut van Internal Auditors (IIA) in 2013 het stuk The Three Lines of Defense in Effective Risk Management and Control. In dit stuk zette de IIA nauwgezet uiteen hoe het operationele management samen kan werken met de risk, compliance en audit functies. Deze samenwerking resulteert in een effectieve en integrale risicobeheersing, lagere ‘cost of control’, verhoogde transparantie en een efficiëntere uitvoering van audits en reviews – allemaal zaken die bijdragen aan strategische en operationele bedrijfsdoelstellingen.

Bedrijven streven van nature naar efficiënte processen. Dat geldt onverminderd voor de processen die ondersteund worden door de drie verdedigingslinies. Zou mogelijke efficiëntie op dit gebied niet te bereiken zijn door:

  • Het hebben van een enkele risicocatalogus en risicodefinitie.
  • Risico-gebaseerd kunnen bepalen waar beheersmaatregelen en audits ingezet worden.
  • Het testen van beheersmaatregelen (deels) te automatiseren.

 Zou het daarnaast niet mooi zijn als dit bovenstaande gecombineerd wordt met het delen van inzichten, bevindingen en resultaten door de ‘three lines of defense’ heen? Dat de auditors kunnen zien wat de resultaten zijn van risico-inschattingen van het operationele management? Dat audit kan steunen op testresultaten van beheersmaatregelen vanuit de eerste en tweede lijn? Dat de compliance afdeling kan steunen op resultaten van het geautomatiseerd testen van beheersmaatregelen? (Zeker dit laatste punt verdient extra aandacht. Het automatiseren van control testen resulteert namelijk in een grotere zekerheid tegen beduidend lagere kosten!)

Betere compliance, minder risico’s

Het klinkt bijna te mooi om waar te zijn. Toch is met de huidige stand van de techniek al heel veel van het bovenstaande mogelijk. Door de processen rondom ‘the three lines of defense’ efficiënt in te richten en de inzet van de juiste hulpmiddelen, kunnen deze processen verder geoptimaliseerd worden. Dubbel werk wordt uitgebannen en handmatig werk wordt verminderd. Met als belangrijke bijkomstigheid dat het veel minder moeite kost voor het operationele management om compliant te blijven en risico’s te beperken.

3LoD zorgt maakt het bestrijden van risico’s beter hanteerbaar dan ooit. Het is bijna alsof je de middeleeuwse ridder Lancelot uitrust met een militaire drone. Op afstand bestuurbaar. Met een kraakhelder beeld van alles wat er in de directe omgeving van het kasteel gebeurt. Direct in contact met alle verantwoordelijke experts. En in staat om eventueel naderend gevaar efficiënt en doelgericht uit te schakelen. Nooit meer urenlang wachtlopen en turen met vermoeide ogen over de velden en wegen, op zoek naar naderend gevaar.

Gelukkig hebben wij in deze tijd de beschikking over moderne technologie.

 

Wil je meer weten over Three Lines of Defence? Meld je dan aan voor een boeiend 3LoD-webinar dat plaatsvindt op 7 september. Tijdens dit webinar vertelt GRC-expert Michael Heckner hoe je de business, compliance en audit afdelingen geïntegreerd met elkaar laat samenwerken binnen dit model. 

{{cta(‘cb50fbea-d978-4ae7-a8de-fe53f27fe957′,’justifycenter’)}}